Authentication
Apprenez à authentifier vos requêtes vers l’API GIMgar Sud.
Vue d’ensemble
GIMgar Sud utilise le protocole OAuth 2.0 avec le fluxclient_credentials : vous échangez un client_id et un client_secret contre un token Bearer (JWT), que vous incluez ensuite dans l’en-tête Authorization de chaque appel.
Récupérez vos identifiants
client_id et votre client_secret vous sont fournis par GIM-UEMOA lors de votre intégration à la plateforme.Générez un token
POST {{baseUrl}}/api/v1/auth/token avec vos identifiants pour obtenir un access_token.Utilisez le token
Authorization: Bearer {{access_token}} dans l’en-tête de chaque requête vers les autres endpoints.Exemple de requête
access_token, sa durée de validité (expires_in, en secondes) et son type (token_type, toujours Bearer).
Utiliser le token
Incluez le token dans l’en-têteAuthorization de chaque requête vers une API protégée :
Sécurité des identifiants
Gardez vos identifiants privés
client_secret dans du code accessible publiquement (dépôt Git, code côté client, réseaux sociaux).Appelez le token endpoint depuis un backend
client_secret ne doit jamais être exposé côté navigateur ou dans une application mobile — générez le token depuis un serveur que vous contrôlez.Utilisez des variables d'environnement
client_id et client_secret dans des variables d’environnement ou un gestionnaire de secrets, jamais en dur dans le code.Limitez l'accès
Réponses d’erreur
| Code http | Cause possible |
|---|---|
400 | grant_type, client_id ou client_secret manquant ou invalide. |
401 | Token manquant, invalide ou expiré sur un appel vers une API protégée. |
500 | Problème serveur lors de la génération du token. |
Étapes suivantes
Référence API
Erreurs
Tester votre intégration
Body
Identifiants de connexion de l'utilisateur.
Response
Authentification réussie. Le token est retourné dans la réponse.
Token JWT signé (au format Bearer) à inclure dans l'en-tête Authorization des requêtes vers les APIs protégées.
Durée de validité du token, en secondes.
Type du token. Toujours Bearer.
Durée de vie du token de rafraîchissement. Toujours 0.
Liste des portées accordées au token.
Timestamp Unix indiquant que le token ne doit pas être accepté avant ce moment.